Este wikiHow te enseñará cómo asegurarte de que tu sitio web esté protegido contra ataques. Usar un certificado SSL y HTTPS es la forma más fácil de asegurar una dirección, pero hay algunas otras cosas que puede hacer para evitar que los piratas informáticos y el malware pongan en peligro su sitio web.
Pasos
Paso 1. Mantenga su sitio web actualizado
No actualizar el software, la seguridad y los scripts de su sitio web cuando sea necesario es una forma segura de permitir que los intrusos y el malware se aprovechen de su sitio.
- Esto también se aplica a los parches del servicio de alojamiento de su sitio web (si corresponde). Siempre que haya una actualización disponible para su sitio web, instálela lo antes posible.
- También debe mantener actualizados los certificados de su sitio. Si bien esto no afectará directamente la seguridad de su sitio web, garantizará que su sitio web continúe apareciendo en los motores de búsqueda.
Paso 2. Utilice software o complementos de seguridad
Hay varios firewalls de sitios web diferentes a los que puede suscribirse para una protección constante, y los servicios de alojamiento de sitios web como WordPress a menudo también ofrecen complementos de seguridad. Al igual que proteger su computadora con un programa antivirus, es aconsejable proteger su sitio web con software de seguridad.
- Sucuri Firewall es una buena opción paga, y debería poder encontrar firewalls gratuitos o complementos de seguridad para WordPress, Weebly, Wix y otros servicios de alojamiento.
- Los firewalls de aplicaciones de sitios web (WAF) generalmente están basados en la nube, lo que significa que no debería tener que descargar ningún software en su computadora para usarlos.
Paso 3. Evite que los usuarios carguen archivos
Permitir que las personas carguen archivos en su sitio web crea automáticamente una vulnerabilidad de seguridad. Si es posible, elimine cualquier formulario o área en la que los usuarios del sitio web puedan cargar archivos.
- Limitar los formularios que permiten que las cargas admitan solo un tipo de archivo (por ejemplo, un-j.webp" />
- Esto puede ser complicado si su sitio web se basa en un formulario de página web para cosas como el envío de cartas de presentación. Puede solucionar este problema configurando una dirección de correo electrónico para los envíos y agregando la dirección a su página "Contacto" para que los usuarios puedan enviar sus archivos por correo electrónico en lugar de cargarlos en su sitio web.
Paso 4. Instale un certificado SSL
Un certificado SSL esencialmente confirma que su sitio web es seguro y puede transferir información encriptada entre su servidor y el navegador de una persona. Por lo general, tendrá que pagar una tarifa anual para mantener su certificado SSL.
- Las opciones de distribución de SSL de pago incluyen GoGetSSL y SSLs.com.
- Un servicio gratuito llamado "Let's Encrypt" también emitirá un certificado SSL.
- Al elegir un certificado SSL, tiene tres opciones: validación de dominio, validación comercial y validación extendida. Google requiere tanto la validación comercial como la validación extendida para recibir la barra verde "Seguro" junto a la URL de su sitio.
Paso 5. Utilice el cifrado
Una vez que haya instalado un certificado SSL, su sitio web debe calificar para el cifrado HTTPS; Por lo general, puede activar el cifrado HTTPS instalando su certificado SSL en la sección "Certificados" de su sitio web.
- Si utiliza una plataforma de sitio web como WordPress o Weebly, es probable que su sitio web ya utilice
- Un certificado HTTPS debe renovarse cada año.
Paso 6. Cree contraseñas seguras
El uso de contraseñas únicas para los aspectos de su sitio de nivel de administrador no es suficiente; Deberá crear contraseñas complicadas y aleatorias que no se replican en ningún otro lugar y almacenar su clave en algún lugar fuera del directorio del sitio web.
Por ejemplo, puede utilizar una mezcla de letras y números de 16 dígitos como contraseña. Luego, puede almacenar la contraseña en un archivo sin conexión en una computadora o disco duro diferente
Paso 7. Oculte sus carpetas de administración
Es conveniente nombrar la carpeta de archivos confidenciales de su sitio web como "admin" o "root"; desafortunadamente, esto se aplica tanto a usted como a los piratas informáticos. Cambiar el nombre de la ubicación de estos archivos a algo aburrido (por ejemplo, "Nueva carpeta (2)" o "historial") puede dificultar la localización de los archivos por parte de los posibles atacantes.
Paso 8. Mantenga los mensajes de error simples
Si su mensaje de error revela demasiada información, los piratas informáticos y el malware pueden explotar la información para encontrar y obtener acceso a cosas como el directorio raíz de su sitio web. En lugar de agregar detalles explícitos a los mensajes de error de su sitio web, considere ofrecer una disculpa concisa y vincularlo al sitio web principal.
Esto va desde errores 404 hasta códigos de servidor de tipo 500
Paso 9. Siempre hash las contraseñas
Si almacena contraseñas de usuario en su sitio web, asegúrese de almacenarlas en formato hash. Un error común entre los nuevos propietarios de sitios web es almacenar las contraseñas en formato de texto sin formato, lo que hace que las contraseñas sean fáciles de robar si un pirata informático logra encontrar el archivo.
Incluso sitios prolíficos como Twitter han sido culpables de este error en el pasado
Consejos
- Contratar a un consultor de seguridad web para que eche un vistazo a sus scripts es la forma más rápida (aunque la más costosa) de abordar posibles fallas en su sitio web.
- Siempre pruebe su sitio web a través de una herramienta de seguridad (por ejemplo, Observatorio de Mozilla) antes de publicar la última versión.
